вторник, 2 сентября 2014 г.

TOP-10 IoC Trustwave



TOP-10 индикаторов компрометации (IoC) по версии Trustwave и рекомендации по реагированию на них


Индикаторов компрометации (Indicators of Compormise, IoC) – это информация, которую можно использовать для обнаружения потенциально скомпрометированных систем.
1. Аномальная активность учетной записи. Отключить или удалить ненужные учетные записи. Использовать сложные пароли и двухфакторную аутентификацию.

2. Подозрительный исходящий трафик. Закрыть ненужные порты.

3. Появление новых и/или подозрительных файлов. Сделать копию подозрительных файлов для их последующего анализа, а затем удалить или поместить файлы в карантин.

4. Географические аномалии в учетных записях (прим. авт. – вход в систему c ip, находящего в другой стране/регионе). Отключить или удалить соответствующие учетные записи. По возможности отключить удаленный доступ к системе.

5. Подозрительные изменения в реестре Windows. Сделать образ системы для последующего анализа. Полное восстановление системы.

6. Признаки, указывающие на подделку логов. Сделать резервную копию логов, проверить их на наличие фальсификации и оповестить соответствующих сотрудников.

7. Признаки, указывающие на вмешательство в работу антивируса. Обновить и запустить антивирусное сканирование, сделать резервное копирование логов антивируса и просмотреть их.

8. Аномальная активность служб (добавление служб, остановка или приостановка). Удалить или отключить аномальные службы и связанные с ними исполняемые файлы.

9. Сбои при обработке платежей (электронная коммерция). Просмотр  и восстановление программного обеспечения платежного шлюза до заводских настроек. Убедиться, что никакой вредоносный код не был добавлен в программу электронной коммерции.

10. Несанкционированный доступ к консоли администрирования или панели веб-администратора (электронная коммерция). Изменить пароль в соответствии с требованиями к стойкости пароля. Разрешить доступ только из доверенной сети.

Комментариев нет:

Отправить комментарий